Karter27 0 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 (изменено) Добрый день! KES10 обнаруживает этот троян (C:\TEMP\abcdefghijkl4988692998477898991.reg) удаляет в итоге после лечения активного заражения, но потом появляется снова. CollectionLog-2018.10.10-13.43.zip Изменено 10 октября, 2018 пользователем Karter27 Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 Здравствуйте,AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\KOLTSO~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\koltsovsn58\LhJuOTfXUjy\KJnFZLmGURP.SHQkRd',''); QuarantineFileF('C:\Users\koltsovsn58\LhJuOTfXUjy', '*.exe,*.dll,*.sys', false,'', 0, 0); RegKeyParamDel('HKEY_USERS','S-1-5-21-343850481-3258063914-3049239087-2370\Software\Microsoft\Windows\CurrentVersion\Run','PARWyqPzLsq','x32'); DeleteFile('C:\Users\koltsovsn58\LhJuOTfXUjy\KJnFZLmGURP.SHQkRd','32'); DeleteFile('C:\Users\koltsovsn58\LhJuOTfXUjy\KJnFZLmGURP.SHQkRd','64'); RegKeyParamDel('HKEY_USERS','S-1-5-21-343850481-3258063914-3049239087-2370\Software\Microsoft\Windows\CurrentVersion\Run','PARWyqPzLsq','x64'); DeleteFile('C:\Users\KOLTSO~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteSchedulerTask('Digital Sites.job'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную формуОбратите внимание логи сделаны в терминальной сессии, сделайте новые логи из консоли.- Подготовьте лог AdwCleaner и приложите его в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
Karter27 0 Опубликовано 10 октября, 2018 Автор Share Опубликовано 10 октября, 2018 Прикладываю. Сообщение от модератора SQ Пожалуйста не прикрепляйте карантин к сообщаения. CollectionLog-2018.10.10-14.47.zip AdwCleanerS01.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 Переделайте логи автологгера под учётной записью с правами администратора.Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
Karter27 0 Опубликовано 10 октября, 2018 Автор Share Опубликовано 10 октября, 2018 Прилагаю: CollectionLog-2018.10.10-15.27.zip AdwCleanerC02.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 Уточните пожалуйста, следующие записи Вам знакомы? O4 - HKLM\..\Run: [Unattend0000000001{C31BC927-0EBE-4DBE-B3C4-91CF23989B52}] = C:\Windows\system32\net.exe user Temp /delete O4 - HKLM\..\Run: [Unattend0000000002{A3151C6D-2523-4F2F-BCE5-7DA519A2C38B}] = c:\windows\setup\scripts\setupcomplete.bat - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Karter27 0 Опубликовано 10 октября, 2018 Автор Share Опубликовано 10 октября, 2018 Записи знакомы, можно удалить. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 Удалять не нужно, спросил ради информации.KJnFZLmGURP.SHQkRd - HEUR:Backdoor.Java.Generic Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] File: C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe File: C:\Windows\system32\drivers\mhflqwsi.sys Folder: C:\Users\koltsovsn58\LhJuOTfXUjy C:\Users\koltsovsn58\LhJuOTfXUjy Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Karter27 0 Опубликовано 10 октября, 2018 Автор Share Опубликовано 10 октября, 2018 Здравствуйте! Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 11 октября, 2018 Share Опубликовано 11 октября, 2018 Сообщите, что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Karter27 0 Опубликовано 11 октября, 2018 Автор Share Опубликовано 11 октября, 2018 Наблюдаем, пока тишина. А что за зверь HEUR:Backdoor.Java.Generic (not-a-virus?), как проник через kes и KVRT его не вычислил? Только по .reg файлам в темпе детектился (Trojan.WinReg.Small.g) Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 11 октября, 2018 Share Опубликовано 11 октября, 2018 А что за зверь HEUR:Backdoor.Java.Generic (not-a-virus?), как проник через kes и KVRT его не вычислил? Это новая угроза, какой либо информации по нему нет, пробуйте написать в тех. поддержку ЛК за деталями. Также как и то каким образом он попал вам в систему. Уточните пожалуйста если вы регулярно устанавливаете обновления Windows? Только если проблем более не возникает выполните завершающие действия: В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню Настройки - Удалить AdwCleaner - выберите Удалить. Подтвердите удаление, нажав кнопку: Да. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Karter27 0 Опубликовано 17 октября, 2018 Автор Share Опубликовано 17 октября, 2018 Проблема не повторяется. С обновлениями был затык. Спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.